Une vulnérabilité majeure découverte par une université américaine et confirmée par Apple permet le vol de mots de passe directement depuis des applications, le système de trousseau de la société Apple étant cassé pour la première fois pour réaliser ces vols.
Les chercheurs de l'Indiana Institute of Technology ont fait la découverte et affirment qu'iOS ou OS X sont vulnérables, ils peuvent être exploités à l'aide d'une application qui doit être ouverte sur les iDevices/Mac pour exploiter le système de trousseau et voler les mots de passe des applications natives ou tierces. des soirées.
La vulnérabilité existante dans les deux systèmes d'exploitation semble avoir été confirmée par Apple, Google et d'autres sociétés proposant des applications dans l'App Store, car Facebook, Evernote, les applications iOS natives et de nombreux autres tiers peuvent être exploités en utilisant cette vulnérabilité.
Les chercheurs ont réussi à casser le trousseau, qui stocke les mots de passe des applications, mais aussi le système de communication entre les applications iOS ou OS X, afin que le transfert de données entre elles puisse être intercepté pour récupérer des mots de passe ou d'autres informations confidentielles.
Nous avons complètement craqué le service de trousseau – utilisé pour stocker les mots de passe et autres informations d'identification pour différentes applications Apple – et les conteneurs sandbox sur OS X, et avons également identifié de nouvelles faiblesses dans les mécanismes de communication inter-applications sur OS X et iOS qui peuvent être utilisées pour voler des informations confidentielles. données d'Evernote, Facebook et d'autres applications de premier plan
Apple a été informé de ce problème depuis octobre, Apple demandant 6 mois pour sécuriser iOS et OS X avant la publication de cette information, mais jusqu'à présent, il n'a absolument rien fait pour résoudre les problèmes des versions publiques d'iOS et d'OS X.
Les chercheurs ont même réussi à publier dans l'App Store une application contenant un malware qui permet d'exploiter la vulnérabilité, de sorte qu'Apple ne vérifie même pas l'existence des applications, de sorte que n'importe qui peut être compromis par des pirates sans problème.
Selon les chercheurs, 90 % des applications pour iOS et OS X sont exposées à des logiciels malveillants, nous parlons donc de plus d'un million d'applications qui peuvent être installées et à partir desquelles des mots de passe ou de nombreuses autres données peuvent être volés.
Les développeurs de 1Password, peut-être le système de sécurité des données et de stockage de mots de passe le plus populaire, affirment qu'il n'existe aucune méthode pour protéger les utilisateurs contre ce type d'attaque, Google ayant pris la décision de supprimer complètement l'intégration du trousseau de Google Chrome.
Selon des explications supplémentaires, il semble que le malware supprime uniquement les données et les mots de passe du trousseau, obligeant les utilisateurs à les saisir à nouveau, et ce n'est qu'alors que les données sont copiées et transmises aux pirates, donc théoriquement les données existantes ne sont pas compromises.
Les conséquences de telles attaques sont dévastatrices, conduisant à la divulgation complète des informations utilisateur les plus sensibles (par exemple, les mots de passe) à une application malveillante, même lorsqu'elle est en bac à sable. De telles découvertes […] ne sont qu’une partie émergée de l’iceberg.
Le pire d’une telle attaque est qu’elle affecte à la fois les applications normales et celles des banques et autres institutions financières, de sorte que tout type de données peut être compromis par des pirates informatiques afin de les voler.
Étant donné que iOS 9 permet l'installation d'applications extérieures à l'App Store, les choses deviennent encore plus compliquées.
